Vulnerabilidad crítica en Roundcube (CVE-2025-49113)

Una vulnerabilidad crítica ha sido descubierta en Roundcube Webmail, una de las plataformas de correo web más utilizadas en entornos corporativos y gubernamentales. El fallo de seguridad, identificado como CVE-2025-49113, ha pasado inadvertido durante más de diez años y permite a atacantes autenticados ejecutar código arbitrario en servidores vulnerables.

Con una puntuación CVSS de 9.9 sobre 10, esta falla representa una amenaza significativa para miles de servidores que aún ejecutan versiones antiguas de Roundcube. La vulnerabilidad afecta a todas las versiones anteriores a 1.6.11 y 1.5.10 LTS, y ha sido clasificada como una ejecución remota de código post-autenticación provocada por una deserialización insegura de objetos PHP.

Detalles técnicos de la vulnerabilidad CVE-2025-49113

De acuerdo con la Base de Datos Nacional de Vulnerabilidades (NVD) del Instituto Nacional de Estándares y Tecnología (NIST), el fallo se produce porque el parámetro _from en la URL de program/actions/settings/upload.php no se valida adecuadamente. Esto permite la deserialización de objetos PHP, abriendo la puerta a que un atacante autenticado ejecute comandos arbitrarios en el servidor.

Citar"Roundcube Webmail antes de 1.5.10 y 1.6.x antes de 1.6.11 permite la ejecución remota de código por parte de usuarios autenticados porque el parámetro _from no está validado en upload.php", describe el NIST.

La falla fue descubierta por Kirill Firsov, fundador y CEO de la empresa de ciberseguridad FearsOff, con sede en Dubái. La compañía ha señalado que publicará más información técnica y una prueba de concepto (proof of concept, PoC) en los próximos días, brindando tiempo suficiente para que los usuarios apliquen los parches de seguridad.

Impacto y versiones afectadas

Esta vulnerabilidad impacta directamente a todas las implementaciones de Roundcube Webmail que aún no han sido actualizadas a las versiones 1.6.11 o 1.5.10 LTS, las cuales ya contienen el parche correspondiente.

Los expertos recomiendan enfáticamente actualizar inmediatamente a estas versiones para mitigar el riesgo. No aplicar la actualización expone a las organizaciones a ataques dirigidos y pérdida de información crítica.

Roundcube en la mira de actores estatales

Esta no es la primera vez que Roundcube es objetivo de actores de amenazas avanzadas. En 2024, se reportaron múltiples ataques que explotaban vulnerabilidades similares, incluyendo CVE-2024-37383, con el objetivo de comprometer cuentas de correo electrónico y obtener credenciales.

El grupo de ciberespionaje APT28, vinculado a la inteligencia militar rusa, fue observado aprovechando vulnerabilidades en Roundcube, Zimbra, Horde y MDaemon para acceder a correos electrónicos de entidades gubernamentales y empresas de defensa, principalmente en Europa del Este.

Recientemente, ESET reportó que APT28 utilizó ataques de tipo XSS (Cross-Site Scripting) para explotar fallas en múltiples servidores de correo web, incluida Roundcube, recopilando información confidencial de usuarios específicos.

Confirmación por parte de Positive Technologies

La empresa de ciberseguridad Positive Technologies también confirmó la existencia de CVE-2025-49113 tras reproducir con éxito la vulnerabilidad. En una publicación en su cuenta oficial de X (antes Twitter), instó a las organizaciones a aplicar la última actualización de seguridad sin demora.

Citar"Esta vulnerabilidad permite a los usuarios autenticados ejecutar comandos arbitrarios a través de la deserialización de objetos PHP", indicó la firma rusa.

Recomendaciones para administradores de sistemas

Para mitigar esta amenaza de forma inmediata, se recomienda lo siguiente:

• Actualizar Roundcube a la versión 1.6.11 o 1.5.10 LTS sin demora.
• Aplicar políticas de seguridad adicionales para monitorear actividad sospechosa de usuarios autenticados.
• Auditar los sistemas de correo web y analizar posibles compromisos previos.
• Estar atentos a la publicación de PoC y nuevas actualizaciones por parte de FearsOff y Positive Technologies.

En fin, la vulnerabilidad CVE-2025-49113 en Roundcube representa un riesgo crítico para organizaciones que dependen de este sistema de correo web. Dada la alta severidad y la posibilidad de ejecución remota de código, la actualización inmediata es esencial para prevenir ataques cibernéticos y proteger la integridad de los sistemas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta